nitrokey:nitropadx230

Dies ist eine alte Version des Dokuments!

NitroPad X230

Bild: Nitrokey Logo

In diesem Kapitel befassen wir uns eingehender mit dem NitroPad X230 einem speziell modifizierten sicheren Laptop mit einzigartiger Manipulationserkennung. In der Produktbeschreibung wie auch dem zugehörigen Datenblatt finden sich alle wichtigen Hintergrundinformationen die man bei der Beschaffung des Gerätes heranziehen sollte.

  Ein besonderes Augenmerk beim NitroPad X230 wurde auf das Thema Sicherheit gelegt. So wird das Betriebssysteme bereits pese via LUKS vollständig verschlüsselt ausgeliefert. Beim Starten des Rechners meldet sich statt des Lenovo-BIOS das quelloffene Coreboot. Somit muss man nicht darauf vertrauen dass der Gerätehersteller und Author des originalen BIOS keine Sicherheitslücken oder Backdoors eingeschleust hat. Bei Bedarf kann man also hier den Quellcode kontrollieren und bei Bedarf sogar selbst kompilieren. Darüber hinaus wurde auch die sicherheitstechnisch bedenkliche IME1) entfernt.

Das Entfernen der IME hat natürlich auch zur Folge, dass z.B. das Schlafenlegen des Laptops nicht mehr funktionieren kann, was aber aus sicherheitstechnischen Überlegungen durchaus vertretbar ist und somit auch voölllig akzeptabel ist!

Gestartet wird der Laptop per Coreboot mit Unterstützung der Sicherheits-Firmware Heads, die darauf abzielt die physische Sicherheit und den Schutz der Daten auf dem System zu verbessern. Heads ist quasi ein kleines abgekapseltes LINUX-OS, dessen Hauptaufgabe es ist, das sichere und vertrauenswürdige Booten des Laptops sicherzustellen. Da alle Bootkomponenten vom Nutzer signiert und somit auf Veränderunen hin überprüft werden können, ist der Nutzer so in der Lage Rootkits oder eine sog. Evil-Maid-Attacke zu erkennen. Bemerkt Heads eine falsche oder fehlerhafte Signatur, stoppt es unweigerlich den Systemstart und informiert den Nutzer mit einer entsprechenden Warnmeldung. In solch einem Fall muss der Anwender sofort hellhörig werden, denn dies zeigt unweigerlich an, dass die Software verändert bzw. der Rechner manipuliert wurde!

Zur Erkennung solcher böswillige Änderungen am BIOS, am Betriebssystem und der Software, wird beim NitroPad X230 der zugehörige Nitrokey Pro bzw. Nitrokey Storage, oder genauer gesagt mit dem darauf befindlichen Schlüsselmaterial, verwendet.

Bild: Photo des NitroPad X230

Im Onlineshop von Nitrokey kann man dann sehr leicht und einfach sein gewünschtes individuelles NitroPad X230 zusammenstellen. Die Preise bewegen sich von der einfachsten Ausführung von ca. EUR 450,00 bis hin zur Highend-Variante mit Qubes OS 4.0 bis hin zu EUR 1.480,00.

Das NitroPad X230 wird auf Wunsch hin getrennt vom zugehörigen Nitrokey Pro bzw. Nitrokey Storage angeliefert. Zum Lieferumfang gehört neben dem Laptop ein passendes Originalnetzteil.

Dokumentation

Vor der ersten Inbetriebnahme ist es dringendst (!) angeraten
sich ausführlich mit der Systemdokumentation unter
https://www.nitrokey.com/doc/nitropad
zu befassen!

Inbetriebnahme

Grundsätzliches zum Bootvorgang

Wie eingangs bereits erwähnt liegt beim NitroPad X230 der eigentliche Sicherheitsgewinn des NitroPad darin, dass beim Starten des Systems erkannt werden kann, ob das System seit der letzten Nutzung verändert oder manipuliert wurde. Erreicht wird dies durch einen, aus mehreren Teilen bestehender Measured Boot. Eine detaillierte Beschreibung rund um das Thema Measured Boot findet sich in dem detailliert beschriebenen Security-Artikel What’s the Difference between Secure Boot and Measured Boot? von gfedorkow.

Dieser Measured Boot wird beim NitroPad mit Hilfe von Coreboot und Heads, aber ohne der IME2) realisiert:

  1. Die aus Sicherheitsaspekten durchaus fragwürdige IME3) wurde deaktiviert.
  2. Das sonst übliche UEFI4) wird durch Coreboot ersetzt.
  3. Zusätzlicher Härtung des Systems wird durch die Einbindung und Nutzung der Security-Firmware Heads erreicht, mit deren Hilfe das sichere und vertrauenswürdige Booten des Laptops erreicht wird. Grundlage hierzu sind unter anderem dass alle Bootkomponenten vom Nutzer signiert und somit auf Veränderunen hin überprüft werden können.

Diese Härtungsmaßnahmen beeinflussen die grundsätzlichesn Sicherungseinstellungen des geladenen Betriebssystems nicht, lediglich beim Hochfahren oder beim Updaten des Systems wird vom Benutzer mehr Auchtsamkeit eingefordert. Durch das Entfernen der IME verliert der Laptop, wie eingangs bereits erwähnt, die standby-Funktion oder auch langläufig als Schlafmodus bezeichnete Funktion.

Es empfiehlt sich, bei jedem Neustart des Systems den zugehörigen Nitrokey Stick anzustecken.

Bild: Hinweis beim Starten des Systems ohne angestecktem Nitrokey

Grundsätzlich sei natürlich erwähnt, dass das Betriebssystem aber auch ohne angestecktem Nitrokey Stick gestartet werden kann.

Bild: NitroPad X230 mit angestecktem Nitrokey Pro Stick

Wenn der Nitrokey angesteckt war oder nach dem Anstecken die RETURN-Taste gedrückt wurde, erscheint auf dem NitroPad folgender Bildschirm.

Bild: Hinweis beim Starten des Systems mit angestecktem Nitrokey

  Der Hinweis HOTP: Sucess, in dem zuvor gezeigten Bildschirmphoto grün markiert, zeigt an, dass das gemeinsame Geheimnis des NitroPad und des Nitrokey übereinstimmen und somit das BIOS nicht manipuliert bzw. geändert wurde. Aber nur wenn die grüne LED in dem Nitrokey blinkt, kann mann davon ausgehen, dass der Laptop hier nach wie vor sicher ist, denn ein Angreifer hätte Zugriff auf das NitroPad und den Nitrokey haben müssen, um dieses Ergebnis zu erreichen.

Daher ist unbedingt darauf zu achten, dass keinenfalls das NitroPad zusammen mit dem zugehörigen Nitrokey Stick, aufbewahrt oder noch schlimmer unbeaufsichtigt zurückgelassen wird!

Sind die Informationen auf dem NitroPad nicht mit denen des Nitrokey in Einklang zu bekommen, wird dies entsprechend mit der Meldung „Ungültiger Code“ quittiert - in nachfolgendem Beispiel rot markiert.

Bild: Hinweis beim Starten des Systems mit angestecktem Nitrokey, bei dem das HOTP nicht passt

Erster Start / first boot

Im Auslieferungsstand sind folgende Default-Einstellungen gesetzt:

  • LUKS-Festplattenverschlüsselung: PleaseChangeMe
  • User-Pin des Nitrokey-Sticks: 123456
  • Admin-PIN des Nitrokey-Sticks: 12345678

Diese müssen später noch abgeändert werden!

Installation/Konfiguration Linux Mint

Nachfolgend wird exemplarisch die Installation/Konfiguration eines Linux Mint basierenden NitroPad X230 beschrieben.

Nachdem wir uns, wie zuvor im Abschnitt Measured Boot ausführlich beschrieben, vergewissern wir uns erst einmal, dass das gemeinsame Geheimnis des NitroPad und des Nitrokey übereinstimmen und somit das BIOS nicht manipuliert bzw. geändert wurde.

Bild: Hinweis beim Starten des Systems mit angestecktem Nitrokey

Sofern hier keine Fehler angezeigt wurde und die grüne LED des Nitrokey Sticks grün mehrmals blinkte, wählen wir nach dem Hochfahren des Systems die Eingabetaste („Standard-Boot“) aus und drücken die RETURN-Taste.

Nach kurzer Zeit, erfolgt die Abfrage des Default-Sicherungspasswortes für die LUKS-Festplattenverschlüsselung.

Bild: Installation Linux Mint - Abfrage LUKS Passwort

Im Anschluss daran erfolgt dann die gewohnte Installation von Linux Mint.

Bild: Installation Linux Mint - menügeführte Installation

Nach der Auswahl der Sprachoption, Tastaturlayout, (wireless) Netzwereinstellung, Zeitzone und der Erstellung des Benutzerkontos können wir uns nach dem automatischen Starten anmelden und es bereits normal benutzen.

Root Passwort setzen

Da der Benutzer root bei der Installation noch kein Passwort gesetzt bekommen hatte, werden wir als ersten wichtigen Konfigurationsschritt, dies nachholen. Hierzu öffnen wir ein Shell-Fenster und geben folgenden Befehl ein: 

 $ sudo passwd root

Hier geben wir nun zweimal das erforderliche Passwort ein und können somit künftig direkt root-Rechte erleangen in dem wir auf der Shell-Konsole den Befehl su - verwenden. 

 $ su -
 #

LUKS-Passphrase ändern

Zum Ändern der Passphrase für die LUKS-Festplattenverschlüsselung klicken wir auf das Linx Mint Logo links unten und geben in dem Suchfeld disk ein und bestätigen die Eingabe mit der ENTER-Taste.

Bild: Linux Mint - Auswahl Programm-/Startmenü

In folgendem Fenster wählen wir dann die entsprechende Festplatte aus und klicken auf das Zahnradsymbol

Bild: Linux Mint - Menü zum Verwalten der Massenspeicher

Hier wählen wir dann aus dem Menü den Punkt Change Passphrase aus.

Bild: Linux Mint - Menü zum Ändern der Optionen des gewälten Massenspeichers

Nun geben wir einmal das Default Passphrase PleaseChangeMe ein sowie zweimal unsere neue Passphrase für die Festplattenversachlüsselung.

Bild: Linux Mint - Dialog zum Ändern der LUKS-Passphrase

Zum Schluss erfolgt noch einmal zum Aktvieren unserer Konfigurationsänderung die Abfrage des Passwortes unseres Users.

Bild: Linux Mint -Abfragedialog des Benutzerpasswortes

User- und Admin PIN des Nitrokey Sticks ändern

foo baa …

1) , 2)
Intel Management Engine ⇒ MINIX in der Intel Management Engine
3)
https://www.linux-abos.de/security/intel-warnt-vor-einer-luecke-in-der-management-engine/
4)
Unified Extensible Firmware Interface ⇒ https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
  • nitrokey/nitropadx230.1598118083.txt.gz
  • Zuletzt geändert: 22.08.2020 17:41.
  • von django